พ.ร.บ. ไซเบอร์ฯ บังคับใช้แล้ว NT cyfence พร้อมให้คำปรึกษาและปฏิบัติตามได้ในทันที
31 กรกฎาคม 2019
ปลายเดือนพฤษภาคมที่ผ่านมา พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ได้ประกาศในราชกิจจานุเบกษาและเริ่มบังคับใช้กับหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (Critical Information Infrastructure) ทั่วประเทศ หน่วยงานของรัฐและเอกชนที่เกี่ยวข้องสามารถขอคำปรึกษาด้านการดำเนินงานให้สอดคล้องกับตัวบทกฎหมาย รวมไปถึงเรียกใช้บริการจากทาง NT cyfence บริษัทที่ปรึกษาด้านความมั่นคงปลอดภัยชั้นนำของไทยได้ทันที
ยกระดับการรักษาความมั่นคงปลอดภัย CII ด้วย พ.ร.บ. ความมั่นคงปลอดภัยไซเบอร์
รายงาน The Global Risks Report ประจำปี 2019 โดย World Economic Forum ได้ทำการจัดอันดับการโจมตีไซเบอร์เป็น 1 ใน 10 ความเสี่ยงที่เกิดขึ้นบ่อยและส่งผลกระทบรุนแรงที่สุดในโลก แม้ว่าการโจมตีไซเบอร์ที่เกิดขึ้นกับบริษัททั่วไปจะส่งผลกระทบเฉพาะตัวบริษัท พนักงาน และลูกค้าที่ใช้บริการบริษัทนั้น ๆ เท่านั้น แต่การโจมตีไซเบอร์ที่เกิดขึ้นกับโครงสร้างพื้นฐานสำคัญของประเทศ เช่น ธนาคาร โทรคมนาคม หรือสาธารณูปโภค อาจส่งผลกระทบต่อประชาชนเป็นวงกว้างหรือความสงบเรียบร้อยของประเทศได้ นี่จึงเป็นที่มาของการออกพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ที่ต้องการยกระดับการรักษาความมั่นคงปลอดภัยของโครงสร้างพื้นฐานสำคัญของประเทศให้ดียิ่งขึ้น เพื่อให้สามารถป้องกันภัยคุกคามดังกล่าวได้อย่างทันท่วงที โดยไม่ปล่อยให้นานจนเกิดผลกระทบกับประชาชน
พ.ร.บ. ไซเบอร์ฯ ฉบับนี้มีวัตถุประสงค์เพื่อยกระดับการรักษาความมั่นคงปลอดภัยของหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (Critical Information Infrastructure: CII) ให้มีประสิทธิภาพยิ่งขึ้น พร้อมทั้งมีมาตรการในการป้องกัน รับมือ และลดความเสี่ยงจากการบุกรุกโจมตีไซเบอร์ที่อาจส่งผลกระทบต่อความมั่นคงของรัฐ เศรษฐกิจ และความสงบเรียบร้อยภายในประเทศ
กฎหมายฉบับนี้ถูกบังคับใช้กับหน่วยงานของรัฐหรือหน่วยงานเอกชนซึ่งมีภารกิจหรือให้บริการโครงสร้างพื้นฐานสำคัญทางสารสนเทศรวมทั้งสิ้น 8 กลุ่ม ได้แก่ ด้านความมั่นคงของรัฐ, ด้านบริการภาครัฐที่สำคัญ, ด้านการเงินการธนาคาร, ด้านเทคโนโลยีสารสนเทศและโทรคมนาคม, ด้านการขนส่งและโลจิสติกส์, ด้านพลังงานและสาธารณูปโภค, ด้านสาธารณสุข และด้านอื่น ๆ ตามที่คณะกรรมการฯ ประกาศกำหนดเพิ่มเติม
ครอบคลุมการรักษาความมั่นคงปลอดภัยตาม พ.ร.บ. ไซเบอร์ฯ ด้วยบริการจาก NT cyfence
สาระสำคัญของ พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ที่หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศทั้ง 8 กลุ่มต้องปฏิบัติตามอยู่ที่หมวดที่ 3 การรักษาความมั่นคงปลอดภัยไซเบอร์ ซึ่งแบ่งออกเป็น 4 ส่วน คือ นโยบายและแผน การบริหารจัดการ โครงสร้างพื้นฐานสำคัญทางสารสนเทศ และการรับมือกับภัยคุกคามไซเบอร์ ครอบคลุมตั้งแต่มาตรา 41 – 69 สามารถสรุปประเด็นสำคัญที่จำเป็นต้องดำเนินการได้ดังนี้
- มีการกำหนดโครงสร้างและแนวทางการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์
- มีการกำหนดนโยบาย แผนงาน และกรอบการดำเนินงานด้านความมั่นคงปลอดภัยไซเบอร์
- จัดทำแผนการตรวจสอบและประเมินความเสี่ยงด้านการรักษาความมั่นคงปลอดภัยไซเบอร์
- มีการทดสอบด้านความมั่นคงปลอดภัย ค้นหาช่องโหว่ และทดสอบเจาะระบบ CII ที่สำคัญ
- จัดทำแผนการรับมือภัยคุกคามไซเบอร์ รวมไปถึงแนวทางปฏิบัติ และการเฝ้าระวังทั้งในภาวะปกติและภาวะฉุกเฉิน
- มีกลไกหรือขั้นตอนสำหรับเฝ้าระวังและรับมือกับภัยคุกคามไซเบอร์ทั้งระดับไม่ร้ายแรง ระดับร้ายแรง และระดับวิกฤต
- มีการตรวจสอบด้านความมั่นคงปลอดภัยไซเบอร์ โดยผู้ตรวจสอบภายในหรือผู้ตรวจอิสระภายนอก
- มีการประสานงานกับ ThaiCERT, TB-CERT, หน่วยงานควบคุมและกำกับดูแลที่เกี่ยวข้อง
- มีการพัฒนาบุคลากรและผู้เชี่ยวชาญด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ทั้งภาครัฐและเอกชน
- สร้างความตระหนักด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ให้แก่ผู้บริหารและผู้ปฏิบัติงาน
เพื่อให้การจัดทำแผนและการดำเนินการต่าง ๆ สามารถกระทำได้อย่างมีประสิทธิภาพและสอดคล้องกับมาตราใน พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 NT cyfence จึงได้เปิดบริการที่ให้คำปรึกษา จัดทำแผน ตรวจประเมิน และดูแลรักษาโครงสร้างพื้นฐานสำคัญทางสารสนเทศ รวมไปถึงอบรมผู้เชี่ยวชาญและสร้างความตระหนักด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ให้แก่ทั้งหน่วยงานของรัฐและเอกชนผ่านบริการต่าง ๆ ได้แก่ IT Risk Assessment, Standard Consulting, Managed Security Services และ IT Professional Training โดยมีรายละเอียด ดังนี้
บริการ IT Risk Assessment
บริการจัดทำแผนการตรวจสอบและประเมินความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ของระบบสารสนเทศ ซึ่งครอบคลุมตั้งแต่การวิเคราะห์ช่องโหว่ การตรวจสอบ และการทดสอบความมั่นคงปลอดภัยของระบบ ไปจนถึงการให้คำปรึกษาในการจัดการกับช่องโหว่เหล่านั้นก่อนที่ผู้ไม่ประสงค์ดีจะเข้ามาขโมย แก้ไข หรือทำลายข้อมูลสำคัญขององค์กร และลดโอกาสการเกิดความเสียหายแก่ระบบเทคโนโลยีสารสนเทศในอนาคต
สำหรับหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศที่ต้องการตรวจสอบและประเมินความเสี่ยงตามมาตรฐานสากล NT cyfence ก็มีบริการตรวจสอบและประเมินความเสี่ยงด้วยเช่นกัน
บริการ IT Risk Assessment ครอบคลุม
- มาตรา 44 (1) แผนการตรวจสอบและประเมินความเสี่ยงด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ โดยผู้ตรวจประเมิน ผู้ตรวจสอบภายใน หรือผู้ตรวจสอบอิสระจากภายนอก อย่างน้อยปีละหนึ่งครั้ง
- มาตรา 54 หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ต้องจัดให้มีการประเมินความเสี่ยงด้านการรักษาความมั่นคงปลอดภัยไซเบอร์โดยมีผู้ตรวจประเมิน รวมทั้งต้องจัดให้มีการตรวจสอบด้านความมั่นคงปลอดภัยไซเบอร์โดยผู้ตรวจสอบด้านมั่นคงปลอดภัยสารสนเทศทั้งโดยผู้ตรวจสอบภายในหรือโดยผู้ตรวจสอบอิสระภายนอก อย่างน้อยปีละหนึ่งครั้ง
รายละเอียดเพิ่มเติม: https://www.cyfence.com/services/it-risk-assessment/
บริการ Security Standard Consulting
บริการให้คำปรึกษาด้านการบริหารจัดการความมั่นคงปลอดภัยข้อมูลสารสนเทศ (Information Security Management System: ISMS) พร้อมช่วยเหลือด้านการจัดทำนโยบายการรักษาความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศให้สอดคล้องกับเป้าประสงค์เชิงธุรกิจขององค์กร รวมไปถึงออกแบบและจัดทำกระบวนการต่าง ๆ เช่น Incident Response Process หรือ Escalation Process ให้เป็นไปตามมาตรฐานสากล ยกระดับองค์กรให้เติบโตอย่างมั่นคงปลอดภัย
บริการ Security Standard Consulting ครอบคลุม
- มาตรา 56 หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ต้องกำหนดให้มีกลไกหรือขั้นตอนเพื่อการเฝ้าระวังภัยคุกคามทางไซเบอร์หรือเหตุการณ์ที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร์ที่เกี่ยวข้องกับโครงสร้างพื้นฐานสำคัญทางสารสนเทศของตนฯ
รายละเอียดเพิ่มเติม: https://www.cyfence.com/services/security-standard-consulting/
บริการ Managed Security Services
Managed Security Service เป็นบริการจัดการระบบเทคโนโลยีสารสนเทศผ่านศูนย์ปฏิบัติการด้านความมั่นคงปลอดภัย (Security Operation Center: SOC) ซึ่งพร้อมตรวจจับและเฝ้าระวังภัยคุกคามบนระบบเครือข่ายและเทคโนโลยีสารสนเทศขององค์กรแบบเรียลไทม์ตลอด 24 ชั่วโมง โดยมีผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยคอยดูแล วิเคราะห์ และทำการแจ้งเตือนเมื่อเกิดเหตุไม่พึงประสงค์ หรือค้นพบช่องโหว่ใหม่ ๆ รวมไปถึงแก้ไขปัญหาที่เกิดขึ้นอย่างทันท่วงทีก่อนที่เหตุการณ์จะลุกลามบานปลาย
นอกจากนี้ NT cyfence ยังมีบริการสำหรับหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศที่ต้องการสร้างศูนย์ SOC เป็นของตนเอง พร้อมบริการการจัดทำกระบวนการและพัฒนาบุคลากรเพื่อให้สามารถปฏิบัติงานในศูนย์ SOC ได้อย่างมีประสิทธิภาพด้วยเช่นกัน
บริการ Managed Security Service จาก NT cyfence ช่วยให้องค์กร
- ได้รับการดูแลระบบเทคโนโลยีสารสนเทศแบบเรียลไทม์ตลอดเวลาเพื่อเฝ้าระวังและแจ้งเตือนเมื่อมีเหตุการณ์ไม่พึงประสงค์เกิดขึ้น
- แจ้งเตือนเมื่อมีภัยคุกคามรูปแบบใหม่ ๆ เกิดขึ้น (Early Warning) พร้อมให้คำแนะนำเบื้องต้นสำหรับแก้ไขปัญหาอย่างทันท่วงที
- วิเคราะห์หาสาเหตุและจัดลำดับความสำคัญของการบุกรุกโจมตีจากผลกระทบที่เกิดขึ้นกับองค์กร
- ได้รับความช่วยเหลือในการแก้ไขปัญหาและตอบสนองต่อเหตุการณ์ไม่พึงประสงค์โดยทีมผู้เชี่ยวชาญ CAT CSIRT
- ปิดช่องโหว่ที่มีความเสี่ยงต่อการถูกบุกรุกโจมตีในรูปแบบต่าง ๆ
- สรุปข้อมูลและจัดทำรายงานเพื่อใช้เป็นแนวทางในการกำหนดและปรับปรุงนโยบายขององค์กรต่อไป รวมไปถึงใช้ประกอบการรายงานต่อสำนักงานและหน่วยงานกำกับดูแลที่เกี่ยวข้อง
บริการ Managed Security Service ครอบคลุม
- มาตรา 44 (2) แผนการรับมือภัยคุกคามทางไซเบอร์
- มาตรา 56 หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ต้องกำหนดให้มีกลไกหรือขั้นตอนเพื่อการเฝ้าระวังภัยคุกคามทางไซเบอร์หรือเหตุการณ์ที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร์ที่เกี่ยวข้องกับโครงสร้างพื้นฐานสำคัญทางสารสนเทศของตนฯ
- มาตรา 57 เมื่อมีเหตุภัยคุกคามทางไซเบอร์เกิดขึ้นอย่างมีนัยสำคัญต่อระบบของหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ให้หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ รายงานต่อสำนักงานและหน่วยงานควบคุมหรือกำกับดูแล และปฏิบัติการรับมือกับภัยคุกคามทางไซเบอร์ฯ
รายละเอียดเพิ่มเติม: https://www.cyfence.com/services/managed-security-service/
บริการ IT Professional Training
บริการจัดหลักสูตรอบรมด้านความมั่นคงปลอดภัยไซเบอร์เพื่อยกระดับขีดความสามารถของบุคลากร ตั้งแต่การสร้างความตระหนักด้านภัยคุกคามและความมั่นคงปลอดภัยสำหรับทั้งผู้บริหารและผู้ปฏิบัติงาน ให้มีความพร้อมในการป้องกันและรับมือกับสถานการณ์ด้านภัยคุกคามไซเบอร์อันเป็นภัยต่อความมั่นคง ไปจนถึงการเตรียมความพร้อมของบุคลากรให้สามารถจัดทำแผนปฏิบัติการและมาตรการรับมือด้านความมั่นคงปลอดภัยไซเบอร์สำหรับใช้เป็นกลไกควบคุมสถานการณ์ เพื่อให้ผู้ที่มีส่วนเกี่ยวข้องสามารถแก้ไขสถานการณ์ที่เกิดขึ้นได้อย่างมีประสิทธิภาพและเป็นเอกภาพ
บริการ IT Professional Training ครอบคลุม
- มาตรา 42 (6) การพัฒนาบุคคลากรและผู้เชี่ยวชาญด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ทั้งภาครัฐและเอกชน
- มาตรา 42 (7) การสร้างความตระหนักและความรู้ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์
รายละเอียดเพิ่มเติม: https://www.cyfence.com/services/it-professional-training/
นอกจากบริการหลักทั้ง 4 รายการที่กล่าวไปข้างต้นแล้ว NT cyfence ยังให้บริการด้านการรักษาความมั่นคงปลอดภัยไซเบอร์อื่น ๆ สำหรับปกป้องและดูแลระบบสารสนเทศของหน่วยงานต่าง ๆ อย่างครอบคลุม ไม่ว่าจะเป็น CryptoSafe, Disaster and Recovery Management Center, Web Application Firewall, All@Secure, BCM Consulting, DDoS Protection, Web Monitoring, Secure Log Management และ CCTV Solution ด้วยทีมผู้เชี่ยวชาญที่มีประสบการณ์ทำงานมานานกว่า 14 ปี ซึ่งพร้อมที่จะเข้าไปช่วยเหลือหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศทุกกลุ่มตามมาตรา 47 ของ พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ที่ระบุว่า “ในกรณีที่การปฏิบัติหน้าที่ตามพระราชบัญญัตินี้ต้องอาศัยความรู้ความเชี่ยวชาญ คณะกรรมการหรือ กกม. อาจมอบหมายให้เลขาธิการว่าจ้างผู้เชี่ยวชาญตามความเหมาะสมเฉพาะงานได้”
สรุปมาตราของ พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ที่ NT cyfence พร้อมให้บริการ
หน่วยงานของรัฐหรือหน่วยงานเอกชนซึ่งมีภารกิจหรือให้บริการโครงสร้างพื้นฐานสำคัญทางสารสนเทศทั้ง 8 กลุ่มตาม พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ที่ต้องการใช้บริการของ NT cyfence สามารถติดตามทีมงานได้ที่ CAT Contact Center โทร 1322 หรือเว็บไซต์ https://www.cyfence.com/contact-us/
บทความที่เกี่ยวข้อง